Discussion :

[feelwatt]

Bonjour à tous;

J'ai bien bossé le fgetcsv
et je récupère le tout dans des array
le but est bien sur de faire un INSERT INTO, donc avec SET id = :id, Nom = :Nom, etc
mais le problème c'est que les csv ont

• Un nombre de colonnes différents
• Des noms de colonnes différents

alors le nombre de SET va changer.

J'ai fait ca

1. Lire le csv

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 while (($data = fgetcsv($handle, 1000, ";")) !== FALSE) {

OK
Mais les arrays sont de la forme [0] => 1, [1] => Le nom etc...
Et pour le array de execute() il aurait fallu [id] => 1, [Nom] => Le nom etc...

Alors je tente:

1. De récupérer les entetes dans un array

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
$arrayName = array();
if ($i==0) 
	{ // Créer les en tetes
	$num = count($data); echo "Num=".$num;
    	echo "<br/>";
    	for ($n=0; $n < $num; $n++) 
    		{ 
        		//echo $data[$n]."<br/>";
        		array_push($arrayName,$data[$n]);
    		}
    	// print_r($arrayName);
    	for ($d=0; $d < $num; $d++) { 
    	 	echo $arrayName[$d].' / ';
	 } 
}

Ok

Et là il faudrait créer un array des lignes suivantes avec comme entete l'arrayName précédent ?

Qu'en pensez-vous ?
Je pense que je galère bien, en tout cas

[sabotage]

C'est plus simple de ne me pas nommer les paramètres :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
while (($data = fgetcsv($handle, 1000, ";")) !== FALSE) {
   if (!isset($sth)) {   
              $sth = $pdo->prepare('INSERT INTO ' . $table . ' VALUES (' . implode(',', array_fill(0, count($data), '?')) . ')');
   }
   else {
              $sth->execute($data);
   }
}   
unset($sth);

[feelwatt]

Waouh !
Ca claque

J'essaye ça !

[feelwatt]

En lancant des print_r pour $data et s$sth on a


$Data= Array ( [0] => 11 [1] => [2] => Semi mat [3] => 1 )
Ok
Pour $sth:
$sth= PDOStatement Object ( [queryString] => INSERT INTO finitions VALUES (?,?,?,?) )

Ben ouais mais ca marche
Super Sabotage Merci !!!

[feelwatt]

Bonjour,
Pour protéger l'application des injections,
j'ai tenté d'importer un .csv avec <u/>DD</u>
et comme protection j'ai fait:

• un mysql_real_escape_string() sur le array_fill > C'est pô bon.
• htmlspecialchars sur le ('?') > pas d'erreur mais ca garde les <u>
• htmlentities sur le ('?') > idem

Vous auriez une idée ?

[Celira]

Ce que tu tentes là, c'est une injection XSS, en l’occurrence l'ajout de code exécutable à l'affichage de la page. En général on tente <script>alert('BOUM!')</script>, si tu as une popup "BOUM!", c'est pas bon.

mysql_real_escape_string protège des injections SQL, qui magouillent les requêtes en base de donnée. Ce n'est pas ton cas, donc il est normal que ça ne fasse rien dessus. (Et de toute façon, si tu utilises PDO et les requêtes préparéescorrectement, tu es déjà protégé, inutile de mélanger mysql_real_escape_string dans l'affaire)

htmlentities et htmlspecialchars protègent des injections de HTML en "neutralisant" le HTML pour qu'il doit affiché et non "exécuté". Dans l'exemple de l'alert('BOUM!') que je citais au-dessus, ça va écrire "alert('BOUM!')" au lieu de faire la popup. Tu es donc bien protégé, mais évidement c'est moche vu que ça écrit le code html dans la page.

Si tu veux retirer des balises html d'une chaine, regarde du côté de strip_tags.